資通安全
1. 資通安全風險管理架構
本公司總管理處為資訊安全管理之權責單位,由總經理兼任資訊安全專責主管,監督公司資訊安全政策之訂定及資訊安全措施之規劃。本公司亦設置一名資訊安全專責人員,負責資訊安全管理作業之執行。
本公司資訊處為資訊安全之執行單位,依據公司資訊安全政策及指引建制資訊環境,落實及持續更新嚴謹的措施,以有效預防及降低資安風險。
本公司稽核室為資訊安全之查核單位,若查核發現缺失,即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降低內部資安風險。
每年會計師進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
基於資訊安全的重要性,權責單位每年定期向董事會報告公司資訊安全治理與執行狀況,近期報告日期為112年12月15日。
2. 資通安全政策及管理方案
為強化資訊安全管理,確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,嘉新水泥公司資通安全設施與管理方式分為六大項:
3. 投入資通安全管理之資源
為實踐六大項資通安全政策,投入之資源如下:
(1)網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾、上網行為分析、網管型集線器等。
(2)軟體系統如端點防護系統、備份管理軟體、VPN認證及加密軟體等。
(3)電信服務如多重線路、雲端備份服務、入侵防護服務等.
(4)投入人力如:每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每年至少兩次資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
(5)資安人力:資安專責主管一名及資安專責人員一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,資安專責主管每年向董事會至少報告一次。
4. 最近年度重大資安事件之損失及因應措施
112年 1 月 ~ 112年 12 月 無發生重大資安事件。
5. 資通安全之通報流程
人員遇電腦系統異常時,應立即通報資訊處人員處理,資訊處人員處理電腦系統異常或故障排除時,應具備資安警覺性,發生以下情形需報告資訊主管,經研判屬於資安事件者,需根據危機處理作業程序通報危機處理小組執行秘書,進行評估是否屬於重大資安事件。
(1)對外網路中斷達 30 分鐘仍未能修復。
(2)資訊系統發生異常,經 3 小時仍未能修復。
(3)發現遭到電腦病毒感染的電腦數量達到全部電腦數量 3%以上。
(4)發現駭客入侵跡象,或系統資料無故遭竄改或外流。
6. 資通安全演練
公司每年實施社交工程演練,提高員工資安警覺性。最近一次社交工程演練為112年10月13日,未通過社交工程演練之員工將接受相關防範課程訓練。
